Vpn
我們可以像在softether vpn伺服器中加密一樣使用CA簽名證書嗎?
我正在嘗試將讓我們加密證書附加到我的 softether vpn 伺服器,但沒有找到解決方法。我們可以使用 CA 簽名證書,比如讓我們在 vpn 伺服器中加密嗎?如果是,請提供流程。
在 VPN 伺服器上使用 Let’s Encrypt 證書的主要挑戰是它們的有效期非常短,只有 3 個月。這意味著有一些先決條件:
- 一旦 Certbot 更新了證書和私鑰,您必須能夠自動載入它們。幸運的是,Softether 有一個命令行管理實用程序。您至少應該熟悉6.2 General Usage of
vpncmd
才能理解此答案中的步驟 1 和 3。- 對於HTTP-01 質詢,VPN 伺服器需要可在 HTTP 埠 80 上公開訪問。此外,Softether VPN 伺服器沒有內置 HTTP-01 質詢,因此需要外部 Certbot。
腳步:
- 您應該將 Let’s Encrypt 添加為 VPN 客戶端的受信任 CA。
- 您可以從“信任鏈”頁面找到目前活動的中間證書。
- 命令是
CertAdd [path]
,從6.5.6 “CertAdd”: Add Trusted CA Certificate 開始。- 這一步可能也可以使用 GUI,但我不是 GUI 人。:)
- 安裝和配置 Certbot:基於您的 Web 伺服器和系統的說明。
- 創建定期更新證書和密鑰的腳本/任務/cronjob。
- Certbot 更新所有將在一個月內到期的證書。因此,在舊證書到期之前最多有一個月的時間,但為了盡量減少失敗的機會,我建議至少每週執行一次此腳本。
- 來自6.3.20 “ServerCertSet”: Set SSL Certificate and Private Key of VPN Server的命令是:
ServerCertSet [/LOADCERT:cert] [/LOADKEY:key]
t; t; `/LOADCERT`指定要使用的 X.509 格式證書文件。 t; t; t; `/LOADKEY`指定要使用的證書的 Base 64 編碼私鑰文件。 t; t; t; 如對於 Debian Linux,命令可能是:
ncmd /server localhost /password:password /adminhub:DEFAULT md ServerCertSet \ OADCERT:/etc/letsencrypt/live/vpn.example.com/cert.pem \ OADKEY:/etc/letsencrypt/live/vpn.example.com/privkey.pem